Cómo proteger el sitio web de los piratas informáticos y asegurarlo fácilmente

Su sitio web es valioso: para usted y para los visitantes de su sitio. Y también, para los hackers.

Para construir buenas defensas contra ataques maliciosos, necesita una guía sensata sobre cómo proteger el sitio web de los piratas informáticos .

¡Esta es esa guía de protección contra piratas informáticos!

¿Cómo estamos tan seguros? MalCare protege más de 25000 sitios web, y nuestro equipo de soporte descubre el malware más escurridizo de los sitios web todos los días. Sabemos un par de cosas sobre cómo proteger su sitio web de piratas informáticos y otros ataques maliciosos.

TL; DR: La mejor medida de seguridad es instalar un complemento de seguridad que se ejecuta en piloto automático. También le recomendamos que implemente todas las medidas de seguridad que hemos descrito en este artículo.

Antes de que empieces

Ver una larga lista de medidas de seguridad para proteger el sitio web de los piratas informáticos puede ser algo desalentador. Nos damos cuenta de eso. Entonces, para facilitar la implementación de estas medidas de seguridad, hemos organizado esta lista de protección contra piratas informáticos de manera sencilla. Sugerimos marcar este artículo como favorito y regresar a él a medida que avanza en él.

Hay una combinación de pasos de protección en esta lista: cosas que debe hacer, cosas que no debe hacer y también algunos mitos reventados.

El objetivo de este artículo es desmitificar la seguridad, eliminando el desorden que está disponible en otros lugares. Sin embargo, lo más importante debería ser que proteger su sitio web de piratas informáticos y virus no es una actividad de una sola vez; pero más sobre eso a medida que avanzamos.

6 pasos básicos para proteger su sitio web de los piratas informáticos de inmediato

Las medidas de protección en esta sección son las más fáciles de implementar y, sinceramente, lo instalarán razonablemente bien. A primera vista, pueden parecer técnicos o avanzados, pero fíjate en alguien que no sea ingeniero: ¡lo tienes!

1. Instala un buen cortafuegos

Los piratas informáticos no piratean manualmente los sitios web. Un buen hacker creará un bot que detecte sitios vulnerables y automatice la mayor parte del proceso. Ahora, los bots están programados para realizar acciones muy específicas. No son sensibles.

En esencia, un firewall es un código que identifica solicitudes maliciosas. Cada solicitud de información realizada a su sitio web primero pasa por el firewall. Si el cortafuegos detecta que la solicitud es maliciosa o se realiza desde una dirección IP que se sabe que es maliciosa, la solicitud se bloquea en lugar de procesarse.

Evite cambiar la configuración del firewall

Algunos cortafuegos le permitirán configurar los ajustes. Sin embargo, no lo recomendamos a menos que sea un profesional de seguridad de sitios web de buena fe. Las reglas de firewall se crean después de una importante investigación de seguridad y una gran cantidad de eliminación de malware de primera mano.

Por ejemplo, la mayoría de los complementos de seguridad de WordPress tienen reglas que impiden que cualquier persona sin acceso de administrador acceda al archivo wp-config.php. El archivo wp-config.php es un archivo central de WordPress que contiene mucha información confidencial. Entonces, el firewall verifica cada solicitud realizada al sitio web para ver si contiene el texto "wp-config.php". Si se activa esa regla, el firewall deniega la solicitud.

Además, dado que los piratas informáticos intentan piratear tantos sitios web como sea posible cuando se descubre una vulnerabilidad, esto saca a la luz las direcciones IP de los piratas informáticos. Los cortafuegos de WordPress rastrean y bloquean IP maliciosas de forma preventiva, en función de estos ataques.

Por supuesto, ningún firewall es 100% inviolable. Pero es mucho mejor tener un firewall que bloquee la mayoría del software malicioso que no tener ningún firewall. Pero no todos los firewalls son iguales, y algunos son mucho más efectivos que otros. Entonces, hicimos una lista de los mejores cortafuegos de WordPress para que elijas.

2. Tenga una política de contraseñas segura y use un administrador de contraseñas

Llevamos más de una década en la seguridad de WordPress. Te sorprendería saber cuántos sitios web fueron pirateados simplemente porque la contraseña era débil.

Cientos de miles de sitios web utilizan contraseñas fáciles de adivinar. El 5% de los sitios pirateados que usaron MalCare para eliminar malware usaron contraseñas débiles.

Los piratas informáticos tienen una lista de tales contraseñas llamadas tablas arcoíris y constantemente generan tablas más grandes para usarlas como una especie de diccionario. Usando estas tablas, un hacker puede lanzar un ataque conocido como 'ataque de diccionario'.

Los ataques de diccionario son en su mayoría una variante de los ataques de fuerza bruta. Pero esa no es la única manera de hackear una contraseña. Por lo tanto, se recomiendan contraseñas seguras.

Las contraseñas seguras son una combinación de letras, números y símbolos. Las combinaciones poco comunes son difíciles de descifrar y los algoritmos de fuerza bruta pueden tardar años en decodificarlas. Además, cuanto más larga sea una contraseña, más difícil será descifrarla.

Este artículo te ayudará a crear tu propia contraseña épica.

También puede usar complementos para hacer cumplir contraseñas seguras de todos sus usuarios de WordPress con el complemento Administrador de políticas de contraseña para WordPress. Este complemento lo ayudará a crear políticas que obliguen a todos sus usuarios de WordPress a crear contraseñas seguras al crear sus cuentas.

3. Instale SSL y use HTTPS en su sitio web

El certificado Secure Sockets Layer (SSL) es un protocolo de seguridad que cifra todas las comunicaciones hacia y desde un sitio web. Instalar uno garantizará que incluso si un pirata informático intercepta datos de su sitio web, nunca podrá entender de qué se trata.

Hemos creado una guía completa sobre cómo instalar un certificado SSL de la manera correcta. En serio, el bombo está justificado. Obtenga un certificado SSL para su sitio web ahora. Como bono adicional, también obtendrá beneficios de SEO.

4. Examine cuidadosamente a los usuarios administradores

La mayoría de la gente asume que los piratas informáticos solo instalarán malware en su sitio web y se irán. Eso no es cierto. Los piratas informáticos realmente inteligentes crearán una cuenta fantasma con privilegios de administrador para que puedan volver a entrar cuando lo deseen.

Revisar y eliminar usuarios de WordPress de forma regular puede resolver este problema.

Sí, puede ser una actividad que consuma mucho tiempo si tiene un gran equipo que administra su sitio web. Pero vale la pena. Eliminar usuarios que ya no contribuyen a su sitio es el primer lugar para comenzar. Luego, haga que las contraseñas seguras sean obligatorias para que sus escritores y editores no comprometan accidentalmente su sitio.

Puede seguir excelentes prácticas de seguridad para sus contraseñas, pero si uno de sus administradores es víctima de una estafa de phishing, por ejemplo, su sitio web también se verá afectado.

Aproveche al máximo los roles de usuario de WordPress para restringir el acceso en la medida de lo posible. Por ejemplo, si alguien solo está escribiendo y cargando artículos, dale acceso de 'Autor' y no de 'Administrador'. Lea nuestro artículo sobre los roles de WordPress para descubrir cómo hacer todo sin problemas.

5. Usa un registro de actividad

Ver algo inesperado en su sitio web puede generar una alarma oportuna en varias situaciones. Considere si se creó una cuenta de administrador sin su conocimiento; o un complemento desactivado (uno de seguridad, por ejemplo) sin consenso.

Todos estos son ejemplos de acciones legítimas de administración de sitios web, sin embargo, también pueden ser síntomas de acceso no autorizado. Los registros de actividad le dirán lo que está sucediendo en su sitio y luego podrá evaluar si estas acciones son legítimas o no.

Esta práctica nos ha salvado el tocino muchas veces.

La mayoría de los piratas informáticos son extremadamente cuidadosos para no ser atrapados, porque solo pueden controlar su sitio web mientras no los atrapen. Los registros de actividad ayudan a señalar los cambios, por lo que puede cortar la actividad no autorizada de raíz.

MalCare viene con un registro de actividad en el tablero y no es necesaria ninguna configuración para configurarlo.

6. Realice copias de seguridad periódicas

Hacer copias de seguridad es posiblemente una de las tácticas más subestimadas que puede aplicar. Realice siempre copias de seguridad diarias para que pueda restaurar rápidamente su sitio web en caso de una falla catastrófica.

Elija un buen complemento de copia de seguridad que sea confiable, porque las copias de seguridad manuales son difíciles de ejecutar correctamente sin una experiencia considerable.

De hecho, antes de continuar con cualquiera de los pasos de este artículo, realice una copia de seguridad completa de su sitio web y configure copias de seguridad diarias de inmediato. Esta es siempre una buena práctica al realizar cambios en su sitio.

5 pasos intermedios para proteger su sitio web al siguiente nivel

Los pasos básicos del artículo son un buen comienzo y no deberían tomar mucho tiempo para configurarlos. En esta sección, además de la autenticación de dos factores y la limitación de los intentos de inicio de sesión, los pasos son medidas de seguridad continuas.

Como dijimos anteriormente en este artículo, es importante pensar en la seguridad del sitio web de la manera correcta. No es una configuración o actividad única y debe considerarse una parte regular de la administración de su sitio.

1. Actualiza todo

Más del 90% de los ataques ocurren porque los piratas informáticos identificaron una vulnerabilidad en un tema o complemento y la explotaron en varios sitios web.

Entonces, ¿qué es una vulnerabilidad? Los temas y complementos son software. Como cualquier otro software, son fragmentos de código que invariablemente tendrán errores. Algunos errores son relativamente inofensivos y pueden causar un problema técnico menor durante la actualización. Otros pueden hacer que el código sea vulnerable a la explotación.

Cuando se descubren vulnerabilidades, principalmente por investigadores de seguridad, se informan al desarrollador del complemento para parches. Los desarrolladores responsables publicarán una solución, y los sitios web con el complemento instalado verán que pronto estará disponible una versión actualizada del complemento.

Una vez que se publica la solución, la vulnerabilidad se divulga públicamente. Si fue uno de los sitios web que actualizó el complemento o el tema con la corrección de seguridad, eso es excelente. De lo contrario, su sitio se convertirá en el objetivo de piratas informáticos aficionados (llamados script kiddies) que buscan ganar dinero rápido.

Por lo tanto, siempre es mejor mantener todo, desde WordPress hasta los complementos, actualizado en todo momento. Sabemos que, a veces, las actualizaciones pueden dañar los sitios web de formas inesperadas, por lo que, para evitar cualquier inconveniente, utilice la puesta en escena para actualizar de forma segura. Pero por favor actualice todo.

Creamos una guía sobre cómo actualizar los sitios web de WordPress de forma segura y con la mínima interrupción.

2. Elija buenos temas y complementos

Si se dio cuenta de la sección anterior, nos referimos a los desarrolladores que lanzan actualizaciones para parchear las vulnerabilidades como responsables. En resumen, los buenos desarrolladores mantienen activamente su software.

Esto no es de ninguna manera un estado de cosas universal. Triste pero cierto.

Por lo tanto, recomendamos encarecidamente el uso de buenos complementos y temas para su sitio web. Comprensiblemente, "bueno" es un término relativo y algo vago. Por lo tanto, enumeramos los factores que debe considerar al optar por un complemento para su sitio web:

• Actualizaciones periódicas: un complemento o tema que lanza actualizaciones constantemente y sigue parcheando cualquier vulnerabilidad que descubra. Esto le indicará que el desarrollador se toma en serio los riesgos de seguridad de su producto.

• Instalaciones activas: un complemento popular con millones de instalaciones siempre tendrá un objetivo en la parte posterior. Contact Form 7 es un ejemplo muy claro de esta tendencia. La otra cara de la moneda es que los complementos populares también tienden a ser más seguros porque generalmente tienen un equipo más grande y mejor trabajando para mejorar el producto. Así que elija sabiamente, después de hacer una investigación adecuada.

• Credibilidad: Evite instalar un complemento o un tema desarrollado por autónomos del que nadie haya oído hablar. Use solo complementos y temas desarrollados por desarrolladores y marcas de renombre. Si está comprando en un mercado, asegúrese de confiar en el desarrollador y no solo en el mercado.

• Versiones pagas: por lo general, los proveedores de complementos pagos gastan más tiempo y dinero en encontrar y reparar vulnerabilidades. Si tiene un presupuesto muy ajustado, un complemento gratuito tendrá más sentido. Pero si le preocupa la seguridad de su sitio web, le recomendamos encarecidamente que utilice temas y complementos premium en su lugar.

Como nota al margen, puede tener la tentación de usar complementos y temas anulados. no lo hagas El riesgo simplemente no vale la pena.

El software anulado propaga malware. Es por eso que obtiene un producto premium gratis. Pero incluso si el archivo zip no contiene ningún código obviamente malicioso, cualquier complemento anulado o usuario de tema sabe que no puede actualizar el software. Eso hace que el sitio web sea vulnerable a un hackeo, como dijimos en la sección anterior.

3. Implementar 2FA

La autenticación de dos factores (2FA) es una medida de seguridad que agrega otro dispositivo o token al que debe tener acceso para iniciar sesión, además de su contraseña.

Hay algunos protocolos que se utilizan para 2FA, como TOTP (contraseña de un solo uso basada en el tiempo) o HOTP (contraseña de un solo uso basada en HMAC). Cada uno tiene sus pros y sus contras, pero a los efectos de la seguridad de inicio de sesión, no necesitamos profundizar en esos detalles.

Hay varias aplicaciones pagas y gratuitas que se pueden usar para agregar 2FA a su página de inicio de sesión y son compatibles con los protocolos más populares. Para obtener más ayuda, consulte este artículo para ver cómo configurar WordPress 2FA. Si tiene muchos colaboradores en su sitio web, definitivamente es una buena idea implementar esta función de seguridad.

4. Seleccione un buen proveedor de alojamiento web

La mayoría de las personas responsabilizan a los servidores web incluso por la seguridad del sitio web. Pero rara vez es culpa del proveedor de alojamiento web si su sitio es pirateado. De hecho, en los raros casos en que un servidor web es responsable de una violación de seguridad, las ramificaciones son enormes. Miles de sitios se ven afectados.

El zapato está en el otro pie la mayor parte del tiempo, y un buen servidor web es fundamental para proteger su sitio web de los piratas informáticos. Por lo tanto, debe apuntar al servicio de alojamiento más seguro. Aquí hay una lista de los mejores proveedores de alojamiento de WordPress que compilamos para ayudarlo a seleccionar un buen servidor web.

5. Limite los intentos de inicio de sesión

Una manera fácil de bloquear los bots y atacantes de fuerza bruta es denegar la entrada a una dirección IP después de 3 intentos fallidos. El cortafuegos de MalCare viene integrado con esta función. Limitar los intentos de inicio de sesión es una forma muy eficaz de proteger su sitio web sin muchas desventajas.

También puede usar el complemento 'Limitar inicio de sesión' al instalar WordPress. Pero si obtiene su propia contraseña incorrecta 3 veces, tendrá que pedirle a su proveedor de alojamiento web que desbloquee su dirección IP para volver a intentarlo.

2 pasos expertos para mejorar realmente la protección de su sitio web

Incluso si ha logrado completar los pasos en las secciones anteriores, está bien en términos de proteger su sitio de los piratas informáticos. Las siguientes medidas son efectivas, sin embargo, requieren cierta cantidad de hurgando en el código.

Queremos reiterar que la mayoría de los ataques ocurren debido a vulnerabilidades, por lo que ocuparse de ellas protegerá bastante bien su sitio web contra piratas informáticos y virus. Si no se siente cómodo probando los siguientes pasos usted mismo, puede ignorarlos o enviárselos a su desarrollador para que los implemente. De cualquier manera, su sitio aún está bien protegido contra los piratas informáticos.

1. Bloquea la ejecución de PHP en la carpeta de subidas

Hay toda una clase de vulnerabilidades denominadas vulnerabilidades de ejecución remota de código que permiten a los piratas informáticos cargar código PHP malicioso en la carpeta Cargas. Por lo general, la carpeta Cargas no debe contener ningún código ejecutable. Está destinado a contener sus archivos multimedia. Pero la naturaleza de la carpeta Cargas es que permite almacenar archivos y carpetas dentro de ella.

Una vez que el código se carga en su sitio web, un pirata informático puede ejecutarlo y obtener un control efectivo sobre su sitio. Sin embargo, si bloquea la ejecución de PHP en la carpeta Cargas, el ataque nunca puede tener lugar.

Si está utilizando MalCare, puede bloquear la ejecución de PHP en la carpeta Cargas con solo hacer clic en un botón como parte de las medidas de refuerzo de WordPress.

2. Cambiar las claves de seguridad de WordPress

Si ha sido pirateado recientemente, puede cambiar sus claves de seguridad de WordPress. Esta es una cadena que se codifica junto con su nombre de usuario y contraseña para administrar las sesiones iniciadas para los usuarios.

Puede establecer esta cadena en cualquier cosa, sin embargo, al igual que con las contraseñas, es mejor usar una cadena alfanumérica generada aleatoriamente. Obtenga más información sobre las claves de seguridad y cómo cambiarlas.

2 consejos ADICIONALES para la protección del sitio web contra los piratas informáticos

1. Manténgase actualizado sobre las noticias de seguridad

Mantenerse informado, hacer preguntas y consultar con la comunidad son formas excelentes de realizar un seguimiento de los últimos ataques y cambios en el panorama de amenazas. Por ejemplo, si se descubre la vulnerabilidad de un complemento, puede desactivarlo desde su tablero hasta que la actualización esté disponible e instalada. Cualquier inconveniente que enfrente palidecerá en comparación con las pérdidas sufridas por un sitio web pirateado.

2 . Realizar auditorías de seguridad periódicas

Muchos propietarios de sitios web creen erróneamente que sus sitios son demasiado pequeños para considerarlos dignos de piratería. Esto no está ni cerca de la verdad. Los ataques ocurren por una variedad de razones, y si su sitio web, por ejemplo, no es lucrativo en términos de datos de usuario, aún tiene suficiente autoridad de SEO para ser utilizado como un sitio de phishing.

Los controles de seguridad regulares ayudarán a descubrir prácticas inseguras, así como posibles vulnerabilidades en su sitio web. Al estar al tanto de los acontecimientos de su sitio web, a través de un registro de actividad o revisando a los usuarios, por ejemplo, se ahorrará muchos dolores de cabeza a largo plazo.

Cosas que NO ayudarán a proteger su sitio web

Abogamos por ser conscientes de la seguridad, pero no paranoicos. Además, hemos visto que hay una gran cantidad de malos consejos para los propietarios de sitios web. El consejo puede provenir de un buen lugar, sin embargo, puede tener consecuencias no deseadas, como crear una experiencia de usuario deficiente o bloquearlo de su propio sitio web.

Así que por favor no hagas lo siguiente.

1. Oculte su página de inicio de sesión de wp

Muchos complementos de seguridad todavía creen que este antiguo truco funciona.

Si el pirata informático no puede encontrar la página de inicio de sesión, no puede realizar ataques de fuerza bruta, ¿verdad? No en realidad no. En cambio:

• Hace que su sitio web sea muy difícil de usar. Si olvida la nueva URL de inicio de sesión, puede ser difícil recuperar su cuenta.
• Si usa las URL predeterminadas que vienen con el complemento de seguridad, es fácil para los piratas informáticos adivinar su nueva URL.
• Incluso si los piratas informáticos no pueden encontrar la página de inicio de sesión de wp, aún pueden piratear su sitio web utilizando la vulnerabilidad XML-RPC.

Esta opción no logra nada al final y puede causar bastantes problemas.

2. Bloqueo geográfico

El bloqueo geográfico consiste esencialmente en bloquear el tráfico de países donde su producto o servicio no está disponible o no es relevante. Esto generalmente se ve como una medida de seguridad, pero en realidad es una forma de reducir la facturación de los recursos del servidor consumidos.

Es muy posible que piense que el tráfico de Gabón no está ayudando a su negocio. Pero bloquear todo el tráfico de Gabón no resuelve nada en absoluto. Con una buena VPN, cualquiera puede eludir incluso el bloqueo geográfico de Netflix.

Además, ¡corres el riesgo de bloquear a Googlebot y a ti mismo también!

3. Proteger con contraseña el directorio wp-admin

La carpeta wp-admin es uno de los directorios más críticos en cualquier instalación de WordPress. Entonces, naturalmente, todos los piratas informáticos quieren participar. Los profesionales de la seguridad inicialmente pensaron que proteger el directorio con contraseña sería una buena idea, pero desde entonces nos hemos dado cuenta de que no es una buena práctica.

La protección con contraseña de su directorio wp-admin interrumpe la funcionalidad AJAX en su sitio web de WordPress y hace que muchos complementos no funcionen correctamente. Si está ejecutando un sitio web de WooCommerce, el código AJAX roto puede arruinar su funcionalidad de búsqueda y otros elementos críticos de UX.

¿Por qué debería proteger su sitio web de los piratas informáticos?

Este artículo ya tiene mucha información sobre cómo proteger su sitio web de los piratas informáticos, y tal vez ya lo hayamos mencionado varias veces, pero vale la pena repetirlo. Su sitio es valioso.

Cuando decimos que es valioso, no solo nos referimos a usted y sus visitantes. Tal vez tenga una pequeña tienda en línea o un blog de pasatiempos que un pequeño grupo de personas visita regularmente. El trato es que incluso si la ganancia monetaria directa de piratear su sitio web no es grande, los beneficios de tener un sitio web limpio para vender productos ilegales o del mercado gris aún hacen que el pirateo valga la pena para el pirata informático.

Por lo tanto, un sitio web pequeño no es una protección contra las malas intenciones.

En segundo lugar, nos corresponde a todos proteger los datos y las identidades de nuestros usuarios. Están depositando cierta confianza en un sitio al visitarlo, y debemos ser conscientes y considerados con ellos al considerar la seguridad del sitio web.

Conclusión

Puede detener a un pirata informático estando atento y adoptando un enfoque proactivo de la seguridad. Es importante darse cuenta de que proteger su sitio web de piratas informáticos y ataques maliciosos es un proceso continuo. Hay pasos que puede tomar una vez, pero sobre todo debe estar al tanto de los cambios en el panorama de amenazas.

Además, no existe un artículo definitivo y único que pueda ayudarlo a detener todos los posibles ataques contra su sitio web. Cualquier artículo, sitio web o experto que afirme hacerlo no está siendo veraz.

Por lo tanto, si bien no podemos prometer que este artículo mantendrá su sitio web seguro y protegido para siempre, le brindamos algunos consejos generales de seguridad que harán que su sitio web sea bastante difícil de piratear. Con los consejos de este artículo, podrá parchear varias fallas en la seguridad de su sitio web.

preguntas frecuentes